Sicherheitsspezialist Sebastian Schreiber auf der IT & Business 2015 Sicherheitskonzepte für „Industrie 4.0“

Gerade in Industrienetzen zeigen Penetrationstests häufig auf, dass sich extrem alte Systeme in deren Verbund befinden. Die eingesetzten Betriebssysteme und Schutzmechanismen gleichen oft lebenden Fossilen. Diese Erfahrung macht Sebastian Schreiber, Geschäftsführer des IT-Sicherheitsdienstleisters SySS immer wieder.

Auf der IT & Business 2015 demonstriert der Security-Experte an allen drei Messetagen (29.9. bis 1.10.2015), mit welchen Angriffsvektoren die „bösen Jungs“ zum Ziel kommen wollen – und wie man sich dagegen schützen kann.

Komplette Digitalisierung

LoB: Die komplette Digitalisierung von Unternehmen wird in diesem Jahr als der Megatrend herausgestellt – welche Auswirkungen hat das für die „Sicherheitshausaufgaben“ der Firmen?
Schreiber: In modernen Unternehmen werden Geschäftsprozesse fast ausschließlich IT-gestützt durchgeführt, Karteikästen haben schon lange ausgedient, relevante Daten sind zu jeder Zeit an jedem Ort verfügbar. Um wirtschaftlich und konkurrenzfähig zu bleiben, sind sämtliche Unternehmen gezwungen, hierbei mitzuspielen. Die enormen Vorteile der Flexibilität und Mobilität bringen jedoch auch eine massive Abhängigkeit von der IT mit sich. Denn: Steht die IT, so steht auch die Produktion! Vertrauliche Daten sind einfacher zu stehlen und können leichter manipuliert werden als ihre analogen Urahnen. Insofern steigen die Sicherheitsrisiken mit der Einführung von den Arbeitsalltag erleichternder IT von Jahr zu Jahr. Firmen müssen daher mehr Augenmerk auf ihre IT-Systeme richten sowie die Sicherheit ihrer sich stetig weiter verzweigenden IT regelmäßig testen und auf den Prüfstand stellen.

LoB: Muss dabei auch auf Anwendungsebene ein Riegel gegen Missbrauch vorgeschoben werden?
Schreiber: Aber natürlich muss gegen Missbrauch ein Riegel vorgeschoben werden – doch der erweist sich als wesentlich komplexer! Netzwerkbasierte Schutzmechanismen wie Firewalls und Gateways sind mittlerweile Standard. Sie sind günstig geworden und mittlerweile recht einfach zu betreiben. Die konkreten Risiken haben sich verschoben und sind weg von der Netzwerkschicht hin zu Applikationen und Betriebssystemen gewandert.

LoB: Welche Erfahrungen haben Sie dabei gemacht?
Schreiber:Im Rahmen von Penetrationstests greifen wir besonders gerne Webapplikationen, Active Directories und mobile Apps an. Mein Ratschlag bezüglich einer sinnvollen Vorgehensweise lautet: Um Applikationen effektiv zu schützen, ist die Einhaltung von Qualitätsstandards wie z. B. OWASP Top 10 erforderlich. Die Bemühungen, eine hochwertige Webapplikation zu erstellen und zu betreiben, müssen von regelmäßigen Penetrationstests flankiert werden.

Sicherheit bei Industrie 4.0

LoB: Welche Auswirkung hat das Thema „Industrie 4.0“ auf die Angriffsmöglichkeiten?
Schreiber: Wenn in einer Firma lediglich einige Sensoren gehackt werden und infolge die Produktion verrückt spielt, entsteht schon ein beträchtlicher Schaden. Industrie 4.0 eröffnet einem Täter jedoch wesentlich weitreichendere Angriffsmöglichkeiten, etwa die Manipulation von Kraftwerken oder das Aus- und Einschalten von Hochöfen oder Raffinerien. Es besteht die Gefahr, dass große Teile der öffentlichen Infrastruktur lahmgelegt werden. Marc Elsberg beschreibt in seinem Roman „Blackout“ glaubwürdig, wie ein Hacker-Angriff gegen Stromnetze die gesamte Wirtschaft in Europa zum Erliegen bringt. Das dort beschriebene Szenario erscheint mir durchaus realistisch und ist nicht einfach nur aus der Luft gegriffen.

LoB: Industrie 4.0 erfordert sozusagen die „Öffnung der Industrieanlagen“ – aber viele Steuerungen basieren noch auf „Uralt-Betriebssystemen“. Welche Angriffs-Szenarien tun sich da auf?
Schreiber: Gerade in Industrienetzen identifizieren wir bei Penetrationstests häufig extrem alte Systeme. Die eingesetzten Betriebssysteme und Schutzmechanismen gleichen oft lebenden Fossilen. Die einzige Möglichkeit, diese vor Missbrauch zu schützen, ist der Einsatz wirksamer Separierungs- und Abschottungsmöglichkeiten wie beispielsweise ihr Betrieb auf separaten Servern und keine Möglichkeit, diese alten Systeme via Internet zu erreichen. Eben diese Mechanismen sind es allerdings, die den enormen Nutzen einer stark vernetzten Umwelt einschränken. Die Unternehmen befinden sich immer im Spagat zwischen der Etablierung einer angemessenen IT-Sicherheit und dem Bereitstellen der für effizientes und reibungsloses Arbeiten erforderlichen Effektivität.

LoB: Was sind aktuelle Bedrohungspotenziale und wie sollte man sich dagegen rüsten?
Schreiber: Aktuell sind deutsche Unternehmen einer Vielzahl von Bedrohungen ausgesetzt. Der Angriff auf den französischen TV-Sender TV5Monde hat gezeigt, dass auch Terroristen mittlerweile begreifen, wie verwundbar die IT-Infrastrukturen westlicher Länder sind und in welch hohem Maße diese von ihrer IT abhängen. Zudem spielt die Vertraulichkeit der Daten eine große Rolle. Ein anderes Beispiel sind die unzähligen Abhör- und Datenskandale, von denen wir jede Woche lesen und die zeigen, wie leicht Dritte Zugriff auf Daten nehmen können. Dabei sollten wir uns bewusst sein, dass jeder publik gemachte Fall mindestens für zehn weitere, genauso schlimme Fälle steht, von denen die Medien nicht berichten.

LoB: Gibt es den Königsweg „gegen“ alle Bedrohungen?
Schreiber: Ein perfekter Schutz ist nicht möglich. Wir können lediglich für einen angemessenen Schutz sorgen, indem wir die Qualität unserer IT-Systeme durch Sicherheitstests oder Audits stetig steigern.

LoB: SYSS ist seit Beginn der IT & Business mit an Bord – was wird in 2015 den Besuchern vorgeführt?
Scheiber: Neben klassischen Angriffen auf Webapplikationen, Kryptografie oder Windows liegt dieses Jahr besonderer Fokus auf Hardwareangriffen, Angriffen auf iPhones und Android. Ich freue mich schon sehr auf die Messe! (rhh)

Hier geht es zur kostenlosen Eintrittskarte zur IT & Business 2015